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摘 要 :针对 格 上 加 密 方 案 的 差分 能 量 攻 击 , Reparaz 等 人 在 PQC2016 上 提出 一 种 具有 加 法 同 态 的 R-LWE 掩 码 方案 
该 方案 能 够 有 效 的 抵抗 差分 能 量 攻 击 ， 但 由 于 密 文 的 同 态 加 法 造成 密 文 中 噪声 尺寸 增 大 ， 降 低 解 密 正 确 率 。 针 对 这 
问题 ,提出 一 个 改进 的 R-LWE 同 态 掩 码 方案 。 引 入 模 转 换 技 术 ， 对 同 态 加 密 之 后 的 密 文 进行 模 规 约 ， 在 保证 明 密 文 对 
应 的 前 提 下 ， 降 低 密 文 中 的 骂 声 尺寸 ， 提 高 方案 的 解密 正确 举 。 为 了 保护 子 密 钥 ， 引 入 随机 和 矩阵 对 子 密 钥 进行 掩 码 保 
护 ， 并 给 出 正确 性 分 析 及 安全 性 证 明 。 分 析 表 明 ， 相 对 于 原 方案 ， 新 方案 从 实 全 性 和 效率 上 都 有 较 大 的 提升 。 
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Abstract: Aiming at the differential power attack of the encryption scheme based on lattice, Reparaz proposed an additively 
homomorphic R-LWE masking scheme In PQC 2016. This scheme can against the differential power attack effectively, but the 
additively homomorphic algorithm between the ciphertexts makes the size of noise increase. It declines the rate of decryption 
correctness. In view of this problem, this paper proposed an improved R-LWE homomorphic masking scheme. By introducing 
the modular switching technology, lt made a modular reduction with the cipher text of additively homomorphic. Under the 
premising that plaintext and the ciphertext were corresponding, lt declined the size of nolse in the ciphertext. And 1t could 
Improve the decryption correctness of the scheme. In order to protect the sub keys, lt introduced a the random matrix to mask 
the sub key. And lt makes the correctness analysis and the safety proof. The proposed Scheme has better security and efficiency 
compared to the original scheme. 
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LWE 困难 问题 的 公 钥 加 秘方 案 。 但 是 , 现 有 的 基于 格 密 码 体制 


0 5 引言 的 后 量子 密码 方案 也 存在 侧 信 道 攻击 ”的 风险 。 

IBM 公司 于 2017 年 5 月 17 日 宣布 成 功 研制 一 台 拥 有 17 文献 [和 通过 对 多 项 式 进行 分 割 ， 设 计 一 种 针对 R-LWE 窗 
个 量子 位 的 量子 计算 处 理 器 ， 这 标志 着 传统 密码 面临 的 挑战 越 。 码 体 制 的 掩 码 方案 ， 该 方案 能 够 有 效 的 抵抗 侧 信 道 攻击 ， 但 是 
来 越 严 峻 。 格 公 钥 密码 体制 是 量子 环境 下 安全 的 密码 体系 之 一 ， ”需要 特定 的 解码 器 。 文献 [5] 针 对 文献 [和 作出 改进 , 通过 分 析 R- 


其 有 很 好 的 密码 学 性 质 , 党 到 许多 答 码 学 专家 的 关注 。2005 年 ， LWE 的 加 法 同 态 特性 ,在 解密 过 程 中 引入 同 态 的 思想 ， 从 而 改 
Regev 将 格 理论 与 学 习 理论 结合 在 一 起 ， 提 出 了 一 个 格 上 的 新 ” ” 变 解密 的 流程 ， 提 高 方案 的 效率 ， 该 方案 根据 同 态 特性 进行 解 
的 困难 问题 错误 学 习 问 题 (LWE, Learning with errors ) [1]， 密 ， 不 需要 特定 的 解码 器 ， 但 是 ， 解 密 正确 率 有 所 下 降 。 文 献 
2010 年 Lyubashevsky 等 在 欧 密 会 上 提出 了 一 种 LWE 的 变 体 R- ”[6] 针 对 高 斯 取样 的 实现 进行 侧 信 道 攻 击 ,， 并且 针 对 滑动 集 略 的 
LWE (learning with errors over ring) 加， 并 同时 给 出 了 基于 R- 防御 措施 进行 了 侧 信 道 攻 击 。 在 CHES 会 议 上 提出 的 文献 [7]， 
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利用 Cache 攻击 来 恢复 高 斯 取样 算法 的 一 些 输出 ， 从 而 形成 针 
对 格 上 的 签名 方案 给 出 了 第 一 个 侧 信道 攻击 的 方案 。 文 献 [3] 针 
对 R-LWE 密码 算法 的 实现 设计 了 一 种 8 比特 的 处 理 器 ， 使 得 
其 能 够 更 加 高 效 的 实现 加 解密 过 程 。 文 献 [9] 描 述 了 一 种 新 型 的 
代数 编码 技术 ， 提 出 一 种 简单 的 随机 育 化 技术 来 抵抗 计时 攻击 
和 能 量 攻 击 ， 并 针对 高 斯 取样 算法 提出 一 种 分 割 一 预计 算 技术 
来 抵抗 侧 信道 攻击 。 

本 文 对 文献 [5] 中 的 方案 进行 了 深入 的 分 析 ， 指出 方案 设计 
中 存在 的 问题 ; a) 解 密 正确 率 低 ; b) 未 对 子 密 钥 进 行 掩 码 保护 。 
在 原 方案 的 基础 上 ， 引 入 随机 和 窍 阵 掩 码 与 模 数 转换 技术 ， 通 过 
掩 码 窍 阵 对 了 于 密 钥 进行 剑 护 ， 使 用 模 数 转换 扩 术 降低 密 文 中 的 
噪声 矿 寸 ， 提 高 解密 正确 率 。 


1 ， 原 方案 分 析 
1.1 基础 知识 

定义 1 设 m 个 线性 无 关 的 向 量 vV,...,v, e R"， 则 一 个 m 
维 满 秩 格 A 定义 为 向 量 v,,...,v, 的 所 有 整 系数 线性 组 合 所 构成 


了 ea 


格 和 的 基 。 
定义 2 错误 学 习 问 题 (Learning with error，LWE) : 已 知 
算 阵 Ae2Z*", 问 量 ve Zr’, 同 量 e 服 从 于 2Z"* 上 的 概率 分 布 yy”， 
整数 n,m>n,g>2° 则 有 : 
(1) LWE 判定 问题 Zr* 与 v- As+e 在 计算 上 是 不 可 区 
分 的 , 判定 问 量 v 是 均匀 取 目 Z"， 还 是 由 v= As+e 计 算得 出 。 
该 问题 已 衫 证明 能 够 规约 到 多 项 式 理 想 格 中 的 近似 最 短 癌 量 问 


证 。 


(2) LWE 搜索 问题 : 求 出 向量 ssZ” ， 使 得 其 满足 
V=As+e。 

引 理 1 假设 p,q 是 2 个 奇数 ，c 是 整数 同 量 ，c' 是 与 
(p/q)c 接近 的 同 量 且 c=cmod2 。 对 于 任意 s 


上 cs>modg|g/2-(g/p)4(s)， 同 时 ， 


? 


<C,S>modp=<Cc,S>modpmod2 ， 


且 IlKc:s>modplK(p/d)llk<cs>modp|+0(CS) 


其 中 ,1 (s) 是 s 的 1 范 数 。 


该 引 理 表明 可 在 不 知 密 钥 的 前 提 下 ， 只 需 知 道 密 钥 长 度 的 
界 ， 就 可 以 把 密 文 从 一 个 较 大 模 数 转换 到 一 个 较 小 的 模 数 下 ， 
且 仍 可 以 正确 解密 。 

1.2 原 方案 回顾 

基于 R-LWE 的 密码 方案 主要 涉及 三 个 算法 : 密 钥 生成 算 
法 、 加 密 算法 、 解 密 算 法 。 

参数 生成 : g 为 全 局 已 知 多 项 式 ，n 是 多 项 式 坏 的 维度 ， 
Dp,4,4 > Pp 为 模 数 ，c 是 离散 高 斯 分 布 的 标准 差 ，@,,e,,e, 是 经 
由 离散 高 斯 取样 产生 的 错误 向 量 。 

密 钥 生成 算法 : 从 离散 高 斯 分 布 中 取样 产生 两 个 多 项 式 
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1,S， 计算 Pp,.=r—-8*So 其 中 s 为 私 钥 ， Dp. 为 公 铀 。 

加 密 算 法 : 首先 , 对 消息 进行 编码 , 通过 对 每 比特 乘 以 g /2， 
将 于 比特 输入 数据 转换 为 环 上 的 元 系 meR 。 然 后 计算 
C=8*@+e6,, c,=p*@+@+m,; 输出 密 文 (c,c,) o 

解密 算法 : 接收 方 收 到 明文 m 对 应 的 密 文 (c,c,) ， 首 先 在 
本 地 产生 随机 消息 m 并 加 密 产生 密 文 (cc) ， 其 次 , 对 两 个 密 
文 进行 加 法 运算 (ec)=(c,c,)+(c,c’)， 然 后 ， 对 密 文 (c"e”) 
进行 解密 运算 c's +c"， 得 明文 m@m， 最 后 , 根据 只 有 人 解密 方 
拥有 的 消息 m 进行 解密 ,得 m@m @m -=m。 

具体 的 解密 过 程 如 图 1 所 示 。 


a 0 
91 v 
> > 中 一 一 > NT “一 一 
1 
CO > DEC 一 一 一 > 
m@Om 
92 
ES INTT 
图 1 具有 加 法 同 态 的 R-LWE 掩 码 方案 
1.3 方案 分 析 


自 完 ,该 加 法 同 态 解密 集 略 可 以 看 做 是 对 密 文 的 旱 化 处 理 ， 
同时 ， 将 密 钥 随机 分 割 为 两 部 分 能 够 使 得 密 钥 与 密 文 混合 ， 改 
变 了 原 有 的 数据 关系 ,消除 了 数据 之 间 的 依赖 性 ,直观 上 来 讲 ， 
该 方法 能 够 有 效 的 抵抗 一 阶 差 分 能 量 攻击 ， 但 是 ， 在 软件 编程 
实现 时 ， 需 要 将 子 密 钥 载 入 寄存 器 进行 计算 ， 因 此， 未 加 保护 
的 子 密 钥 也 是 方案 的 淤 在 攻击 点 ,攻击 者 可 对 于 和 冤 钥 进行 恢复 ， 
从 而 获取 最 终 黎 铀 。 

其 次 ， 由 于 密 文 之 间 的 代数 相 加 ， 造 成 密 文中 的 噪声 矿 寸 
也 是 代数 相 加 ， 当 噪声 尺寸 过 大 ， 超 过 解密 国 值 时 ， 束 会 出 现 
解密 失败 的 现象 。 根 据 文 献 [5] 中 的 研究 结 来 表明， 密 文 相 加 使 
得 解密 失败 率 从 3.6x105 增 加 至 3.3x103 ,扩大 了 将 近 一 百倍 。 

为 了 解决 上 述 解 密 正确 率 降 低 的 问题 ,引入 模 数 转换 技术 ， 
对 进行 加 法 运算 之 后 的 密 文 使 用 模 数 转换 技术 ， 将 原 模 数 转换 
至 一 个 较 小 的 模 数 ， 在 保证 能 够 正确 解密 的 前 提 下 ， 降 低 密 文 
中 噪声 尺寸 的 大 小 ， 提 高 了 解密 正确 率 。 

为 了 保护 子 密 钥 ， 引 入 随机 掩 码 矩阵 ， 对 子 密 钥 进行 掩 码 
处 理 。 使 得 子 冤 钥 处 于 保护 状态 ， 能 够 有 效 的 避免 兰 分 能 量 攻 
击 。 


2 ”改进 的 R-LWE 方案 


第 1 章 通 过 分 析 原 始 方 案 ,指出 其 中 存在 的 些许 安全 隐患 ， 
本 章 针 对 上 述 缺 陷 进 行 改进 ， 从 而 提高 方案 的 解密 正确 率 ， 同 
时 保护 子 密 钥 的 安全 性 。 方 案 的 密 钥 生成 、 加 密 算法 均 和 原始 
方案 相同 。 本 文 只 对 解密 过 程 进 行 改进 ， 改 进 后 的 解密 过 程 如 
下 有 所 未: 
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a) 解 密 方 接收 到 明文 mm 对 应 的 密 文 (cc) ， 本 地 产生 随机 
消息 mm 并 加 密 得 密 文 (cv cm) ,对 两 个 密 文 进行 加 法 运算 ， 并 使 
用 模 数 规约 进行 噪声 的 约 减 ， 最 终 得 密 文 (c,c,) 。 计 算 过 程 如 
图 2 所 示 。 


图 2 对 密 文 进行 模 规 约 计算 


b) 用 户 生 成 随机 矩阵 用 于 对 子 密 钥 进行 掩 码 处 理 。 假 设 生 
成 随机 矩阵 为 yy, 计算 s@M，s,@M。 

c) 在 每 条 分 文 语 句 中 ， 根 据 掩 人 码 后 的 子 密 钥 对 密 文 进行 解 
蜜 计算。 分 别 有 (s@M)ectc,, (s@M)ec. 

d) 按 照 解密 规则 /ps:.c +c 进行 解密 运算 ， 得 解密 结果 
m 四 11 。 

e 根 据 本 地 随机 消 轧 mm ， 求 得 了 最终 原始 消 她 


m =m 四 1 四 1 。 


> > (修一 ”INTT 
v 
C1 Dec —— > 
+ m Dm, 
s, DM 
一 一 


图 3 改进 的 解密 方案 


3 ”方案 分 析 


3.1 正确 性 分 析 
正确 性 证 明 : 为 了 证 明 该 方案 的 正确 性 ， 首 先 ， 验 证 同 态 
加 法 的 解密 正确 性 ， 
Dec(c,c) 四 Dec(cc) = 由 四 1 。 
然后 ， 使 用 og',a" 表示 INTT 操作 的 输出 ， 且 w = w+w"。 
wa'o" 分 别 计算 为 : 
x' =INTT((Cs ® M):c, +c,) (1) 
0a" =INTT((s, 四 NM .cl (2) 


nm 1/ 


Dec(ci,c,)= Dec(c + er,c’ +c’)= 


则 


=INTI(s:c +c,)=INTT((S, + Ss,):c, +c,) 
=INTT((s @M®@M+sS,):c +c,) 
=INTT((s @® M):c +c +(S ® M).:c,) (3) 
=INTT((s @® M):c +c,)+INTT((s, ® M).c,) 


一 CQ 十 CQ 


最 后 , 对 c 解密 可 得 消息 Dec(aw) = Dec(c,c,)=m 人 @m,，, 则 
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m=m 四 711 四 1 。 
3.2 安全 性 分 析 
3.2.1 抗 计 时 攻击 

计时 攻击 是 根据 不 同比 特 位 在 执行 密码 算法 过 程 中 消耗 的 
时 间 不 同 来 进行 攻击 的 ,根据 改进 后 的 密码 方案 执行 流程 可 知 ， 
算法 对 密 钥 的 处 理 不 是 按照 原始 密 钥 比特 位 进行 迭代 处 理 的 ， 
而 古 将 密 钥 进 行 了 分 割 ， 每 个 子 密 钥 单 独处 理 ， 而 子 密 钥 的 分 
割 是 随机 进行 的 ， 攻 击 者 无 法 知晓 具体 的 分 割 方法 ， 也 就 无 法 
通过 计时 攻击 确认 每 个 子 密 钥 执 行 的 起 始点， 因此 ， 不 能 根据 
计时 信息 对 密 钥 进 行 恢复 。 
3.2.2 抗 简单 能 量 攻击 

简单 能 量 攻 击 是 对 密码 算法 执行 过 程 中 所 采集 到 的 能 量 消 
耗 曲 线 进行 二 接 分 析 的 技术 。 本 文通 过 对 密 钥 进行 随机 分 割 ， 
改变 了 原 有 的 计算 顺序 ， 攻 击 者 无 法 确定 每 个 子 密 钥 计算 的 起 
始 氮 ， 也 融合 得 攻击 者 无 法 根据 能 量 消耗 曲线 十 观 的 对 密 钥 进 
行 猜测 ， 从 而 有 效 地 防止 简单 能 量 攻击 。 
3.2.3 抗 差分 能 量 攻击 
能 量 攻 击 主要 是 根据 中 间 值 之 间 的 数据 依赖 天 系 进行 
攻击 ， 只 要 能 够 证 明 数 据 之 间 不 存在 关联 ， 即 数据 之 间 的 概率 
分 布 与 密 钥 无 天， 网 能 够 有 效 的 抵抗 震 分 能 量 攻 击 。 


幅 
> 


本 市 通过 实现 R-LWE 解密 算法 ， 并 证 明 其 能 够 有 效 的 抵 
抗 差 分 能 量 攻 击 。R-LWE 密码 算法 的 解密 实现 如 下 所 示 : 


Input : Ss,,S,,c,c,, M,m, 
Output : m 
1.S < S 四 NM 
2.0 So 
3.w < CQ 二 C， 
4.0' < INTT(a'") 
5.s, 二 S BM 
6.0" < Sci 
7.a < INTT(&’) 
8.C 0 +o 
9.m Bm, ¢ Dec(a) 
10m < 711 由 1711 由 11， 
定理 1 当 和 矩阵 My， 随机 消息 mm 均 为 R, 上 的 独立 均匀 分 
布 时 , 解密 算法 中 的 中 间 变 量 与 敏感 信息 s,m 服从 独立 分 布 。 
证 明 为 了 证 明 上 述 定理 ， 本 文 分 析 每 行 中 变量 的 分 布 并 
且 证 明 所 有 的 中 间 值 与 敏感 信息 s，m 服从 独立 分 布 。 
第 1,5 行 : 矩阵 M 征 一 个 随机 变量 ， 通 过 异 或 运算 ， 使 用 
该 变量 对 中 间 值 进行 掩 码 处 理 ， 掩 码 人 处 理 后 的 变量 服从 原 有 的 
分 布 ， 并 且 不 产生 任何 的 敏感 信息 泄露 。 
第 2,3,6 行 : 在 R 上 ，si,s, 服从 独立 于 s 的 分 布 ， 并 且 每 
条 语句 的 结果 都 不 能 用 来 恢复 有 关 s 的 任何 信息 。 由 于 c, 依赖 
于 密 钥 s ， 但 是 根据 R-LWE 的 假设 ， 攻 击 者 不 能 通过 观察 c, 
获得 有 关 s 的 任何 信息 。 同 时 ，c ,c 是 密 文 的 一 部 分 ， 其 中 包 
含 随机 消息 m 对 应 的 密 文 , 因此, c,c, 与 密 钥 s 和 明文 消息 jn 
也 是 相互 独立 的 。 


录用 稿 


第 4,7 行 : 相互 独立 的 变量 w',w" 经 过 INTT 转换 后 仍 是 相 
互 独立 的 。 

第 8 行 : 由 第 4,7 行 可 知 ， 两 个 相互 独立 的 变量 相 加 之 后 
仍然 是 一 个 独立 的 变量 ， 且 不 泄露 任何 敏感 信息 。 

第 9 行 : 输入 w 是 经 掩 码 后 的 数据 ， 因 此 ， 该 解密 结果 没 
有 任何 的 信息 泄露 。 

第 10 行 : 消 晨 m, 是 由 本 地 随机 产生 并 保存 ， 通 过 异 或 运 
算 可 得 最 终 消息 m 。 

综 上 所 述 : 解密 算法 中 的 所 有 中 间 变 量 的 分 布 与 敏感 信息 
s，m, 相互 独立 。 因 此 ， 对 于 攻击 者 来 说 ,不 能 有 效 的 对 该 算 
法 进行 差分 能 量 攻 击 。 

本 文 设计 的 掩 码 防护 方案 对 R-LWE 算法 进行 了 改进 ， 通 
过 密 钥 分 割 技术 与 同 态 解密 策略 ， 消 除了 数据 与 密 钥 之 间 的 依 
痪 


赖 性 ， 能 够 有 效 的 抵抗 计时 攻击 、 人 简 蛙 能 量 攻 击 及 一 阶 拳 分 能 
量 攻 击 和 高 阶 兰 分 能 量 攻 击 。 
3.3 ”效率 分 析 

解密 正确 率 分 析 : 文献 [3] 中 指出 ， 由 于 密 文 之 间 的 同 态 加 
法 运算 , 导致 密 文 中 噪声 矿 十 的 增长 ,一 旦 噪声 太 十 超过 国信， 
则 会 出 现 解 密 失 败 的 现象 。 为 了 避免 出 现 解 密 失 败 ， 本 文 引 入 
了 模 数 转换 技术 , 通过 模 数 转换 , 将 模 数 转 至 一 个 较 小 的 模 数 ， 
并 能 够 保证 在 相同 的 密 钥 下 解密 出 正确 的 消息 ， 这 样 就 能 够 使 
得 密 文 中 的 噪声 尺寸 降低 ， 从 而 提高 解密 正确 率 。 

文献 [13] 中 定理 1 证 明了 通过 模 数 转换 技术 ， 在 不 知道 密 
钥 的 值 ， 仅 知道 密 钥 的 界 的 前 提 下 ， 能 够 将 密 文 转 换 为 一 个 新 
的 密 文 ， 同 时 模 数 由 原来 的 模 数 g 转换 至 一 个 数值 较 小 的 模 数 
六 ， 并 且 密 文 对 应 的 明文 消息 不 变 。 通 过 该 技术 降低 了 密 文 中 
的 吗 声 尺寸 ， 能 够 将 噪声 大 小 从 |e 降低 至 
(p/9g)|| e, +l+nlls||; 从 而 提高 解密 的 正确 率 。 

对 比分 析 : 功 耗 平衡 技术 .需要 消耗 大 量 的 能 量 ， 且 电路 
一 般 都 需要 重新 设计 ; 功 耗 扰乱 技术 [9 相 比 功 耗 平 衡 技术 能 够 
降低 部 分 能 量 消耗 ， 但 是 通常 需要 大 量 的 数据 处 理 ， 影 响 整体 
性 能 。 对 比 布尔 掩 码 ， 布 尔 掩 码 需要 构建 查找 表 ， 将 所 有 的 可 
能 值 都 进行 存储 ， 加 大 了 存储 空间 。 而 本 文 的 同 态 解密 ， 改 变 
了 算法 的 执行 过 程 ， 不 需要 大 量 的 能 量 开 销 ， 仅 需要 一 个 用 于 
存储 随机 消息 的 寄存 器 即 可 。 
3.4 对 比分 析 

通过 分 析 对 比 ， 本 文 所 提出 的 方案 ， 比 之 文献 [4]、 文 献 [5] 
更 加 安全 ， 增 加 了 对 子 密 钥 的 保护 ;效率 上 通过 柑 数 规约 能 够 
降低 密 文 中 的 噪声 矿 寸 ， 提 高 解密 正确 率 ， 从 而 达到 和 原始 方 
案 相 同 的 解密 正确 率 。 对 比分 析 结 果 如 表 1 所 示 。 

表 1 不 同方 案 之 间 的 对 比分 析 


方案 抗 侧 信道 攻击 能 量 ” 解密 正确 率 ”安全 性 ”是否 易于 实现 
文献 [4] V 一 般 中 
文献 [5] V 较 低 中 V 
本 文 方案 V 高 V 
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4 ”结束 语 


本 文 在 Reparaz 等 人 提出 的 具有 加 法 同 态 的 R-LWE 掩 码 
方案 基础 上 ， 引 入 模 数 转换 技术 ， 改 变 密 文 的 处 理 方 式 ， 降 低 
密 文 中 噪声 尺寸 ,提高 了 解密 正确 率 。 通 过 产生 随机 掩 码 矩阵 ， 
对 子 密 钥 进行 掩 码 处 理 ， 使 得 子 密 钥 得 到 保护 ， 提 高 了 方案 的 
侧 信 道 防御 能 
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